home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / sys / sgi / 16180 < prev    next >
Encoding:
Text File  |  1992-11-09  |  2.5 KB  |  57 lines
  1. Newsgroups: comp.sys.sgi
  2. Path: sparky!uunet!sun-barr!cs.utexas.edu!uwm.edu!spool.mu.edu!sgiblab!sgigate!sgi!rhyolite!vjs
  3. From: vjs@rhyolite.wpd.sgi.com (Vernon Schryver)
  4. Subject: Re: Does IRIX support "secure" nfs?
  5. Message-ID: <s5s4fr0@rhyolite.wpd.sgi.com>
  6. Organization: Silicon Graphics, Inc.  Mountain View, CA
  7. References: <34002@adm.brl.mil>
  8. Date: Tue, 10 Nov 1992 02:12:46 GMT
  9. Lines: 46
  10.  
  11. In article <34002@adm.brl.mil>, c60244@ccfiris.aedc (Kenny McDonald) writes:
  12. > Keystrokes of Kenny McDonald, in response to Vernon Schryver:
  13. > >
  14. > >In article <1992Nov5.032429.2196@igor.tamri.com>, lim@igor.tamri.com (Bill Lim) writes:
  15. > >> I haven't seen anything in my system manuals about any kind of
  16. > >> secure nfs. I have used SUN's secure nfs option and am wondering
  17. > >> if it or a functional equivalent exists for IRIX?
  18. > >> 
  19. > >> SUN's secure nfs can prevent a user with root permissions on his/her own
  20. > >> workstation to "su" to another user and view or change that user's
  21. > >> files, via nfs, unless the file permisssions are set r/w for others.
  22. > >
  23. > >
  24. > >I thought all NFS servers by default mapped UID 0 to "nobody", usually
  25. > >UID=-1 or something similarly bogus.  The original SUN reference source
  26. > >did.  So have all SGI NFS products.
  27. > >
  29. > This doesn't keep someone with root privs from su'ing to another user in
  30. > order to look at any NFS files belonging to that user.  I have heard that
  31. > there is a version of NFS that will not use the effective UID for file
  32. > access; thus handling this type of situation.  Has anyone else heard of this?
  33.  
  34.  
  35. Changing the client to always use the real instead of effective UID
  36. would not affect the security problem.  Anyone who can `su` to root and
  37. then `su` to a target user can instead create a user of any desired UID
  38. and log in as that user.  Changing the NFS client to always use the
  39. real UID would break SUID programs.
  40.  
  41. SGI does support the "host access list" feature in medium modern NFS
  42. implemenations, where the NFS server limits access to members of a list
  43. of hosts.
  44.  
  45. There is, as I wrote at first, a Kerberized version of NFS available
  46. from some universities.  I do not think SGI supports it, and I don't
  47. recall hearing that it had been ported to IRIX by those universities.
  48.  
  49. There is also a more secure version of NFS and NIS that Sun proposed,
  50. and I think shipped about 3 years ago.  My understanding is that its
  51. cryptographic security was not found impressive by those who understand
  52. such things, and so it's authorization and authentication facilities
  53. have not been very popular.
  54.  
  55.  
  56. Vernon Schryver,  vjs@sgi.com
  57.